facebook LinkedIN LinkedIN - follow
Aktuality -> Analýzy - 23. 5. 2024

Firmy by neměly vyčkávat, co jim přikáže zákon o kybernetické bezpečnosti

Tisíců tuzemských firem se v příštím roce dotkne zákon, který určí, jak se budou muset chránit před kyber­ne­tic­ký­mi útoky. Pro firmy, které se svému za­bez­pe­če­ní doposud příliš nevěnovaly, může být zavedení nut­ných opatření velmi nákladné. Podle předpokladů přitom bude zákon představovat spíše minimální míru zabezpečení a firmy by měly být v kybernetické ochraně ve vlastním zájmu důslednější. A měly by se kybernetické ochraně věnovat dlouhodobě, jednorázová investice nestačí.



Tomáš Kubíček„Zej­mé­na stát­ní sprá­va, zdra­vot­nic­ký seg­ment a střed­ně velké firmy v čes­kém vlast­nic­tví, z naší zku­še­nos­ti často vy­čká­va­jí na kon­krét­ní legi­sla­tiv­ní poje­tí záko­na o kyber­ne­tic­ké bez­peč­nos­ti a vůbec na to, zda­li se jich povin­nost bude týkat. I tyto sub­jek­ty by se kaž­do­pád­ně měly před hac­ker­ský­mi útoky chrá­nit, a to již nyní. Bez správ­né­ho zabez­pe­če­ní jim při úspěš­ném kyber­ne­tic­kém útoku hro­zí až mno­ha­mi­lio­no­vé finan­ční ztrá­ty, pří­pad­ně i repu­tač­ní pro­b­lé­my,“ tvrdí kyber­bez­peč­nost­ní expert z BDO Tomáš Kubíček.

Zákonná povinnost bude vycházet z evropské směrnice NIS2, kterou se Česko společně s ostatními unijními státy zavázalo přijmout nejpozději do 17. října letošního roku, a to v rámci připravovaného zákona o kybernetické bezpečnosti. Již nyní je ovšem jasné, že zákon stihne nabýt účinnosti nejdříve až v lednu 2025.

Jeho přijetí se protáhne i z toho důvodu, že začátkem dubna vrátila Legislativní rada vlády návrh zákona Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB) s připomínkami k přepracování. Očekává se, že u návrhu zákona se upraví řada detailů, nicméně hlavní povinnosti pro firmy zůstanou beze změny a měly by s nimi proto již teď předběžně počítat. Zákon se celkově dotkne minimálně šesti tisíc firem, v závislosti na parametrech může jít dokonce o dvojnásobný počet.

Pro firmy bude nová povinnost znamenat nejprve vytvoření dokumentů, které budou stanovovat postupy a chování organizace v souladu s novým zákonem o kybernetické bezpečnosti. Očekávají se výdaje řádově ve stovkách tisíc korun. Druhým krokem bude zavedení technických bezpečnostních opatření. Pokud firma nemá dosud žádná technická opatření, náklady se mohou pohybovat v rozmezí vyšších stovek tisíc až jednotek milionů korun. K tomu se přičte následná podpora těchto technologií v dalších letech jejich provozu. „Firmy by měly mít na paměti udržování aktivní ochrany a potřebného financování dlouhodobě. Stává se, že sice mají v pořádku nastavené procesy i dokumentaci, jenže samotná praxe za tím zaostává, čímž se firma zbytečně dostává do rizika,“ prohlašuje Tomáš Kubíček.

Až budou mít firmy svou ochranu nastavenou, měly by svou odolnost vůči útokům prověřit – externími testy zranitelnosti anebo tzv. penetračními testy. Zároveň by si firmy měly v kritických systémech udělat audit toho, jaké mají dodavatele, jak ti jsou zabezpečeni a jaká u dodavatelů existují rizika.

Kybernetické útoky jsou stále komplexnější a zákeřnější, pro firmy je tak zásadní sledovat aktuální trendy, aby se před nimi mohly chránit a mohly správně proškolit své zaměstnance. Jednou z relativních novinek je vylákání citlivých údajů už ne za pomoci široké a relativně nahodilé rozesílky spamu, ale díky zacílení na konkrétního zaměstnance. Metoda nazývaná spear phishing spočívá ve vytipování lidí, jejichž údaje jsou nejcennější, kterým útočníci pošlou zprávu přesně na míru, aby zvýšili pravděpodobnost úspěchu a vylákali z nich, co potřebují.


 
  

- PR -

50(v)tipů paní Teskové #2: SIEM aneb jak se z logů dělá příběh a z příběhu varování

Teskalab LogoV minulém díle jsme si povídali o tom, co je to log management a proč je důležitý. Je to takový základ IT hygieny. Něco jako kartáček na zuby pro vaše IT. A řekněme si na rovinu, žádná velká zábava s ním není, ale zkuste to měsíc bez něj a líbit se vám to nebude. Dneska ale půjdeme o krok dál. Protože když už máte logy, je čas se na ně nejen dívat, ale také s nimi pracovat. A to se nejsnáze dělá tak, že se jim naučíte rozumět. Dovolte mi, abych vám představila dalšího hrdinu kybernetické bezpečnosti: SIEM.

  

- PR -

Od tabulek k centralizovanému systému řízení výroby

Implementace ERP Vision zefektivnila využití výrobních dat


modV současné době je poměrně běžným požadavkem společností, které implementují ERP systém, vyřešení podpory řízení některých klíčových procesů. S přípravou takových řešení je obvykle spojeno nejvíce práce na projektu implementace. Na začátku často bývá představa ideálního stavu, ale chybí detailní pohled včetně uvědomění konkrétních datových toků. Popravdě ani není v silách zákazníků tyto detaily zpracovat.